Definizione e Caratteristiche del Single Sign On (SSO) in informatica

Il Single Sign On è una particolare forma di autenticazione, ed autorizzazione, che permette l’accesso a più risorse protette a partire da un’unica, iniziale, interazione di autenticazione da parte del soggetto fruitore. Infatti, il SSO è una sistema specializzato di autenticazione che prevede che un utente fornisca le credenziali di accesso una sola volta, dopodiché possa accedere a tutte le risorse che fanno parte del sistema informatico senza doversi riautenticare.

Esistono varie tipologie di SSO in funzione dei contesti applicativi e dei soggetti coinvolti. Quella sulla quale si focalizza questo articolo è il Single Sign On su web. Il SSO su web si applica esclusivamente all’accesso autenticato a risorse web, statiche o dinamiche, tipicamente effettuato tramite un browser. I soggetti che accedono ad una tale risorsa per la prima volta nell’arco di una stessa sessione, vengono dirottati presso un servizio di autenticazione, più propriamente l’Identity Provider successivamente, se quest’ultima ha avuto successo, essi vengono rediretti nuovamente presso la risorsa iniziale, nello specifico il Service Provider, a cui verranno comunicati gli aggiornamenti sullo stato di autenticazione di tali soggetti.

I benefici del SSO sono molteplici, dal punto di vista dell’amministratore, il quale ha un maggiore controllo sull’accesso che viene concentrato in un solo punto, e dal punto di vista dell’utente, che non è più costretto ad autenticarsi a diverse risorse o a ricordarsi una serie di credenziali di accesso differenti. Grazie a questo ne deriva anche una sicurezza migliore, in quanto l’utente potrà tenere traccia di una sola password, anche complessa, senza il bisogno di annotarla su qualche foglietto. Oltre ad essere particolarmente comodo per l’utente è anche molto sicuro, poiché vengono scambiati dati riservati una sola volta e non ad ogni accesso ad una risorsa.

Quindi, i vantaggi del SSO su web in confronto alle soluzioni tradizionali rispetto ad una credenziale distinta per ogni sito sono evidenti.

1. Usabilità. Il soggetto fruitore deve effettuare meno interazioni per accedere agli stessi servizi;
2. Sicurezza. Poiché la fase di autenticazione è un evento che diventa più raro, può essere dedicata maggiore attenzione, eventualmente implementando tecniche forti su base crittografica. Per il SSO di tipo federativo questo è vero in quanto gli Identity Provider potrebbero essere gli unici ad avere le informazioni necessarie ad effettuare tale operazione sui propri soggetti;
3. Scalabilità. Un soggetto che si autentica presso un certo Identity Provider può accedere a risorse protette da un Service Provider che non ha bisogno di tenere internamente informazioni, bensì può ottenerle dal Service Provider. Tale fenomeno implica una maggiore scalabilità delle soluzioni SSO con il conseguente aumento dei soggetti servibili a parità d’investimento;
4. Incentivi alla federazione. Un Service Provider è motivato ad aderire ad una federazione dal fatto che può accedere ad un bacino d’utenza più ampio ovvero quello di tutti gli Identity Provider della federazione. Tuttavia un Identity Provider che entri in una federazione garantisce ai propri soggetti una migliore offerta di servizi in termini di qualità, quantità e diversificazione.

Infine, bisogna dire che questo modello di autenticazione è particolarmente utilizzato nei servizi web, dove viene molto bene implementarlo attraverso l’utilizzo dei cookie. Due implementazioni di SSO per risorse web sono CAS e Shibboleth, quest’ultimo nato soprattutto per supportare anche ambienti federati.